一些想法

footman

     在卡饭也有2年多了，混了很久也学了些皮毛，对于最近流行的白加黑木马也比较关注，不过一直没说什么，今天就来说说自己的想法吧。
     
     本人只是个菜鸟，非专业人事，所以只能说说想法，大家可不要和我谈技术啊
   
    1.卡巴有个应用程序控制对首次运行的程序进行分析，那么对于白加黑的样本能否在首次运行时进行dll加载过滤检测呢？这样能否大大增强对白加黑木马的防御能力？  
   
    2.像正常的程序安装后都有自己的特定的安装文件夹，比如QQ在“QQ”文件夹下、数字产品在“360”文件夹下，那么能否根据产品的数字签名与它特定的文件夹位置名建立起个数字签名与文件夹对应的白名单，不在该名单内的程序在运行时弹窗提醒用户，这样应该可以大大防御了带有数字签名程序被利用的木马了吧？

   3.也是最重要的一点，那就是用户的上网习惯及安全常识。毕竟所有的杀软都不是万能的，就算万能的也会在一些无敌的用户手中倒下。如果用户上网习惯好，在网购的时候不接发来的文件，那么这些白加黑的木马又有何用？所以人才是最最重要的，安软厂商不能只是一味的增强软件的安全性，也应该教会用户正常的上网习惯及安全只是，不能舍本逐末。


以下是个人的一些上网习惯，有什么不对大家指出 ，大家有什么好的建议也可补充 。
a.系统补丁要打到最新
b.网页通过上网导航或者自己收藏网页进去，就算上H也要到论坛性质的（安全点）
c.网购时不贪小便宜，不要借对方传来的文件（就算借了也不要双击），且网购要到正规的网购网站
d.显示文件的文件格式名，这样能识别伪装木马病毒
e.软件到官网下或者管家里下；不要用破解外{过}{滤}挂类的，就算真的要用也要先看看评论，评论好的话在用
f.用注册率禁止可移动程序的执行权限，关闭系统的自动播放，这样U盘病毒的防御一般都没什么问题了（方法自己百度）


我的习惯就这些了

     最后，真的真的希望安软厂商们在安软上增加个传授用户正确的上网习惯和安全知识的界面，通过文字和flash动画来交给用户，这样用户随便用哪个安软都会变得更加的安全。

     授人与鱼不如授人以渔！！！

z13667152750

exe和dll的比例小于1/100

白名单太大了,而且dll的升级远比exe的升级频繁

一旦升级,很容易因为白名单更新没有跟上导致大范围误报

footman

z13667152750 发表于 2012-4-6 19:13
exe和dll的比例小于1/100

白名单太大了,而且dll的升级远比exe的升级频繁

是的。那么想法2的方法对于白加黑是否可行？

z13667152750

footman 发表于 2012-4-6 19:17
是的。那么想法2的方法对于白加黑是否可行？

可行,但是效果不大,而且可能造成误报

不是所有用户都是安装软件到programfile文件夹的

而且病毒作者在制作病毒,会将其压缩,直接压缩在对应文件夹下怎么办?或者直接制成不包括自运行的自解压压缩包解压到特定位置

footman

z13667152750 发表于 2012-4-6 19:19
可行,但是效果不大,而且可能造成误报

不是所有用户都是安装软件到programfile文件夹的

只是弹窗提醒

自己看弹窗后觉得安全就放行，不安全就阻止

z13667152750

footman 发表于 2012-4-6 19:22
只是弹窗提醒

自己看弹窗后觉得安全就放行，不安全就阻止

一个一旦被发现就可以轻易免杀了拦截方式,而且还可能造成误报,影响用户体验

很难可行

footman

z13667152750 发表于 2012-4-6 19:19
可行,但是效果不大,而且可能造成误报

不是所有用户都是安装软件到programfile文件夹的

不是非要在programfile下，只要软件对应的文件夹

如comodo在comodo文件夹下，不是要求对应programfile\comodo，而是XXX\comodo

footman

z13667152750 发表于 2012-4-6 19:24
一个一旦被发现就可以轻易免杀了拦截方式,而且还可能造成误报,影响用户体验

很难可行

嗯。

道高一尺魔高一丈，所以只是谈些想法而已

z13667152750

footman 发表于 2012-4-6 19:26
不是非要在programfile下，只要软件对应的文件夹

如comodo在comodo文件夹下，不是要求对应programfile ...

自解压压缩包

或者将样本放在comodo文件夹下再压缩,那么解压后,样本就会出现在comodo文件夹下

firethreat

楼主的第三条超管用。其它的，偶个人感觉难度大大的。